（工商管理专业论文）设计院内部控制和风险管理审计研究.pdf

中文摘要 伴随着全球化和经营环境的日趋复杂，企业面临的风险不断增多，对内部审 计在改进风险管理、完善治理结构以及加强内部控制等方面的需求日益增加。本 文以某大型设计院内部控制审计的现状和发展方向为研究对象，采用美国c o s o 委员会内部控制整体框架和企业风险管理整体框架的研究成果，在中外 内部控制的内部审计发展演变研究的基础上，通过中外对比、要素分析、战略分 析等研究方法，理论联系实际，研究风险导向的内部审计对我国大型国有企业内 部控制审计的影响。 通过对设计院内部审计产生和发展历程的探讨，结合设计院长期投资管理内 部控制审计实务案例，本文对设计院的内部控制环境和内部审计流程等进行了多 角度的介绍和分析，探讨了设计院内部控制和风险管理审计中存在的一些问题， 例如内部审计的独立性不够、审计机构人员配备结构不合理、与内外部关系协调 不佳、不关注企业风险等。并从为企业提供增值服务，保证企业战略目标实现的 角度，提出改进和控制上的规划：建立审计委员会，发挥内部审计在公司治理中 的作用；将内部审计与企业风险管理进行整合；拓展审计业务范围，围绕企业战 略目标开展内审活动：大力发展计算机审计技术促进信息沟通和监督，以及加强 内部审计质量控制等。探讨在公司治理过程中，内部审计作为内部摔制的重要组 成部分，如何把关注的核心转向风险，发挥风险导向内部审计的作用，构建良好 的公司治理实务，对大型企业尤其是勘察设计企业的内部审计工作，具有一定的 理论意义和较强的实践指导作用。 关键词：设计院内部控制风险管理内部审计 a b s tr a c t f o l l o w i n gt h eg l o b a l i z a t i o na n dt h ec o m p l i c a t i o no fb u s i n e s sc o n d i t i o n , t h e e n t e r p r i s ef a c e su n c e a s i n g l yi n c r e a s e dr i s k s ，d e m a n d si n t e m a la u d i tp l a yr o l e si n g o v e m a n c e 、r i s ka n dc o n t r 0 1 t h i sa r t i c l et a k e st h ei n t e r n a lc o n t r o la u d i t sp r e s e n t s i t u a t i o na n dd e v e l o p m e n to fal a r g e s c a l ed e s i g ni n s t i t u t ea st h eo b j e c to fs t u d y b y a p p l y i n gt h et h e o r yo f “i n t e r n a lc o n t r o l - i n t e g r a t e df r a m e w o r k a n d “c o s o - e n t e r p r i s er i s km a n a g e m e n tf r a m e w o r k t or e a l i t y ，t h ea r t i c l er e s e a r c ht h a tr i s k m a n a g e m e n tb a s e da u d i th o wt oi n f l u e n c ei n t e m a la u d i ti nl a r g e - - s c a l es t a t e o w n e d f i r m st h r o u g ht e c h n i q u e ss u c ha se s s e n t i a lf a c t o ra n a l y s i s ，s t r a t e g i ca n a l y s i sa n d c o m p a r i n gt h ei n t e r n a la u d i t sc h a n g ea n dd e v e l o p m e n ti n c h i n aw i t hw h i c hi n w o r l d b yu n i f y i n gt h el o n g t e r mi n v e s t m e n t sa u d i tp r a c t i c ec a s e ，t h ea r t i c l ea n a l y s e s t h eo r g a n i z a t i o n a lu n i t ss u c ha sc o r p o r a t es t r u c t u r ea n da u d i tp r o c e s s e si nt h ed e s i g n i n s t i t u t e ，d i s c u s s e ss o m ep r o b l e m se x i s t si ni n t e r n a l c o n t r o la n dr i s km a n a g e m e n t ， f o re x a m p l e ，a u d i t si n d e p e n d e n c ei si n s u f f i c i e n t , t h ep e r s o n n e la l l o c a t e si na u d i t d e p a r t m e n ti su n r e a s o n a b l e ，a u d i to r g a n i z a t i o nc a r l t c o o r d i n a t ew i t ht h eo t h e r so r e x t e r n a l ，p a yl i t t l ea t t e n t i o nt ot h eb u s i n e s sr i s ka n d s oo n f r o mt h ep e r s p e c t i v eo f p r o v i d i n gv a l u e a d d e ds e r v i c e st ot h ee n t e r p r i s et or e a l i z et h es t r a t e g i co b j e c t i v e s ， t h ea r t i c l eg i v e sa no v e r a l lp l a n n i n ga tl a s t ，w h i c hd i s c u s s e st h a ti n t e r n a la u d i t ，a sa n i m p o r t a n tc o m p o n e n to fc o n t r o l ，h o wt ot u r nm a i na t t e n t i o nt or i s ka n dg i v ef u l l s c o p et oc o r p o r a t eg o v e r n a n c e t h ea r t i c l eh a sat h e o r e t i cs i g n i f i c a n c ea n dd i r e c t i n g u s et ot h ei n t e r n a la u d i to ft h el a r g e - s c a l ee n t e r p r i s e ，e s p e c i a l l yt ot h ed e s i g n i n s t i t u t e k e yw o r d s ：d e s i g ni n s t i t u t e s ，i n t e r n a lc o n t r o l ，r i s km a n a g e m e n t ， i n t e r n a la u d i t 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的 研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得墨鲞盘堂或其他教育机构的学位或证 书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均己在论文中 作了明确的说明并表示了谢意。 学位论文作者签名荡1 辛孵 签字日期：一7 年，月l 同 学位论文版权使用授权书 本学位论文作者完全了解苤鲞盘堂 有关保留、使用学位论文的规定。 特授权聂鲞盘堂可以将学位论文的全部或部分内容编入有关数据库进行检 索，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校 向国家有关部门或机构送交沦文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名： 主吣卉髟嘻 导师签名： 答字醐力7 年朋堋 墨赢囱 ，、 广 签字同期：歹矽产- p 月2 同 l 第一章绪论 第一章绪论 在世界范围内，伴随着全球化和经济发展等环境的变化，内部审计作为内部 控制的重要组成部分，已经深入到企业管理的深层。不同的组织之间，由于经营 规模、经营特点以及目标等特征不同，其内部控制的差异很大。为此，大型企业 内部审计急需了解良好的内部控制所共同具有的特征，在原有基础上改进完善内 部控制，并引入风险审计的概念，加上对各种影响企业未来风险因素的认识和分 析，借鉴国外先进的风险审计程序，完善整个审计体系，帮助本企业实现战略经 营目标。 1 1 课题研究背景 本课题以某大型勘察设计院内部控制审计的现状和发展为研究对象。该设 计院成立于1 9 5 3 年，2 0 0 1 年4 月由事业型单位改制为科技型企业：2 0 0 6 年完 成主辅业分离，将医院、中小学等辅业与勘测设计主业脱钩；2 0 0 7 年改制重组， 成立集团有限公司，注册资本6 6 亿元。截止到2 0 0 8 年底，在册职工4 0 2 4 人， 其中，国家级勘察设计大师3 人，省部级以上专家7 7 人，工程技术人员2 8 5 2 人，教授级高工5 9 人，高级工程师9 8 2 人，工程师1 0 6 7 人，其他技术人员1 0 1 3 人。采用职能式组织机构，设立包括审计处在内的职能部门1 1 个，党群部门5 个，生产单位1 4 个( 采用专业管理模式) ，驻外经营机构1 4 个，控股子公司8 个。 该院1 9 9 2 年首批获得对外经营权，1 9 9 7 年1 2 月首次获得i s 0 9 0 0 1 质量体 系认证证书，2 0 0 6 年6 月首次获得i s 0 1 4 0 0 1 环境管理体系、o h s a s l 8 0 0 1 职业 健康安全管理体系认证证书。自1 9 9 7 年有统计数据以来，该院综合实力一直稳 居全国勘察设计单位百强前列。尤其近年来，该院生产形势良好，主要经济指 标连创新高，市场竞争力不断增强。同时，对生产能力放大的迫切需求，使得 企业生产组织形式随之改变，迫切要求企业加强内部控制和风险管理。 1 2 课题研究的意义及研究的理论方法和主要内容 对内部控制的内部审计研究，涉及管理学、经济学、审计学等多学科。按 第一章绪论 照控制系统论的观点，内部审计实现了管理控制系统中的反馈功能，是对管理 的再管理。从上世纪九十年代开始，伴随着现代风险导向审计思想方法的引进， 审计师更加关注对企业战略与风险的评估。在内部审计领域，审计功能已从原 有财务审计转向管理咨询与风险控制，在完善公司治理结构和提高公司治理效 率方面发挥着重要作用，但是，如何在企业生产形势改变的情况下加强内部控 制，以及如何将内部审计的职能和公司治理更好地结合，充分发挥审计在内部 控制和公司治理中的作用，是亟需解决的问题。 本课题以某大型勘察设计院为研究对象，采用美国c o s o 委员会( t h e c o m m i t t e eo fs p o n s o r i n go r g a n i z a t i o n s ) 1 9 9 2 年发布并于1 9 9 4 年修订的内 部控制整体框架，以及2 0 0 4 年9 月研究发布的企业风险管理整体框架( c o s o _ e r m ，又称全面风险管理框架) 的研究成果，在中外内部控制的内部审计发展 演变研究的基础上，通过中外对比、要素分析、调查研究、战略分析等研究方 法，理论联系实际，研究风险导向的内部审计对我国大型国有企业内部控制审 计的影响；并结合设计院长期投资管理内部控制审计实务案例以分析现状，通 过对设计院现有组织机构情况和内部审计流程分析，提出设计院内部控制和风 险管理审计中存在的问题，从为企业提供增值服务，保证企业目标实现的角度， 提出解决问题的规划方案，探讨在公司治理过程中，内部审计作为内部控制的 重要组成部分，如何把关注的核心转向风险，以及如何发挥风险导向内部审计 的作用，构建良好的公司治理实务。 2 第一二章内部控制的内部审计发展演变 第二章内部控制的内部审计发展演变 2 1 国内外内部审计的发展沿革 2 1 1 国际内部审计的发展演变 内部审计是随着商品经济的发展，随着商业运作和管理方式的逐步变化而 系统地发展起来的。审计的历史可以追索到公元前3 5 0 0 年前，美索不达米亚 文明的纪录显示，在与财务交易有关的数字旁边有些小的标记。这些点、记号 和勾号描绘了一个验证制度，一名书记员编制简要的交易汇总表，另一名书记 员对汇总表进行验证。内部控制的验证制度和职务分工理念可能就起源于那个 时期。我们现在谈论的近代内部审计，是从1 8 世纪英国工业革命开始萌芽的， 十九世纪末开始在美国得到发展和补充。各种组织雇用专职的人员来检查其财 务记录和经营成果，对书面记录进行核查，证明财务事项的准确性，逐步建立 起了内部审计的机构和人员，开展了内部审计工作。 企业经营活动发展所带来的管理难题，促进了独立内部审计机构的出现。 从本世纪初到1 9 4 1 年，是近代内部审计发展的初步阶段。内部审计作为独立 会计服务的附属行业，以保护资产、查错防弊为主要目的。 1 9 4 1 年，国际内部审计师协会( i i a ) 成立，和学者们一道对内部审计的 定义、目标、责权、项目要素等进行了探讨和归纳，并在1 9 4 7 年之后发布了 内部审计师职责公告等一系列公告，推进了内部审计理论的研究和实务的发展， 内部审计师逐渐取得了和外部审计师同等的地位。从内部审计师协会成立到6 0 年代，这段时期可以说是内部审计的发展阶段。这一阶段，内部审计的关注焦 点，已从查错防弊转向评价内部控制是否健全、有效，审计领域从财务领域扩 大到管理制度、经济合同、经济效益等，并且，内部审计本身成为内部控制系 统的重要组成部分。很长一段时间里，内部审计的方式和方法持续地受外部审 计的影响。在检查会计控制的充分性等方面，外部审计和内部审计可以重合。 会计经验在设立审计程序、评价系统、分析交易、识别错误和编制工作底稿的 时候能够提供重要的帮助。但是，内部审计与外部审计在服务对象、独立性、 审计的范围和内容，以及是否持续关注审计目标方面仍然存在显著差异。 2 0 世纪六七十年代开始，企业和政府运营的日益复杂和成熟，使得管理阶 层要求更有效地对其实施监控，这一时期，外部环境的影响成为企业管理不可 3 第二章内部控制的内部审计发展演变 回避的问题，系统论、信息论、控制论、耗散结构论、协同论、以及突变论等 成为管理理论的方法论基础，企业内部强调决策在管理中的核心地位，强调自 上而下目标的一致性，由于这些方面的综合作用，以及公司治理理论及实践的 逐步成熟，内部审计技术更加强调管理的意识和观念，内部审计进入了管理导 向阶段。这一阶段，审计委员会制度的建立和发展，使得内部审计机构与审计 委员会形成了直接的报告关系，将内部审计的重点推向了对管理决策的评价和 对管理人员的评价上。内部审计在组织中的地位进一步提高，19 7 9 年由董事长、 审计委员会或者总经理直接领导的比例比1 9 6 8 年提高了1 6 个百分点、。 2 0 世纪9 0 年代起，全球化以及顾客需求的多样化，使得价值理念在管理 中成为主流思想。企业致力于增加利益相关者的“价值”，包括财务、企业信誉、 品牌等各方面。随着全面质量管理理论、战略管理理论、企业文化理论的演进， 企业再造理论、学习型组织等管理理论的推出，内部控制和风险管理的研究也 进入了比较成熟的阶段。i i a 顺应这种趋势，19 9 9 年7 月，理事会投票通过了 内部审计新定义和新的专业实务框架( p p f ) ，确定了一套全球性的内部审计师 的准则：职业道德规范自1 9 6 8 年1 2 月1 3 日颁布，经持续修订，2 0 0 0 年 6 月17 日理事会批准了其最后版本；2 0 0 2 年1 月1 日，内部审计实务标准 生效。i i a 对内部审计的定义：是一种独立、客观的保证和咨询活动，旨在增加 价值和改善组织运营。它通过应用系统的、规范的方法，评价和改善风险管理、 控制及治理过程的效果，帮助组织实现其目标。根据这个定义，内部审计重点 关注风险管理、控制和治理过程，其目的和范围扩展到对整个企业的经营进行 评价。内部审计从最初的以会计为导向的专业发展成了现在以管理为导向、以 风险为导向的专业，许多先进的内部审计部门给所在组织的管理提供范围广泛 的其他保证和咨询服务，以帮助组织实现其全部目标。 2 1 2 我国内部审计发展历程 和发达国家相比，我国的内部审计发展历史不长。我国审计监督制度是在 总结历史经验的基础上，结合我国国情，并适当借鉴国外一些经验建立起来的。 回顾我国内部审计的历史发展，大体上经历了三个阶段： 1 9 8 2 年6 月，财政部向国务院提出关于筹备审计机关的报告，经国务 院领导批示，于8 月份向各省、市、自治区人民政府发出了筹备各级审计机关 的通知。1 9 8 3 年8 月2 0 日，中华人民共和国审计署成立前夕，国务院转发了 审计。署关于开展审计工作几个问题的请示，提出建立内部审计监督制度问 1 数据来源：王光远：“消极防弊积极兴利价值增值( 三) 2 0 世纪内部审计的回顾与思考：1 9 7 0 - 1 9 8 0 年”，财会月刊，2 0 0 3 年第四期。原文引自i i a s u r v e yo fi n t e r n a la u d i t i n g 1 9 7 9 。 4 第二章内部控制的内部审计发展演变 题，指出建立和健全部门、单位的内部审计，是搞好国家审计监督的基础。根 据国务院的指示精神，我国的部门和单位开始边组建、边开展内部审计活动。 1 9 8 3 年9 月，中国石化总公司率先成立审计部，开展了内部审计监督活动。1 9 8 5 年8 月，国务院发布内部审计暂行规定，要求政府部门和大中型企业事业 单位实行内部审计监督制度，为内部审计提供了法律依据。1 9 8 5 年1 2 月5 日， 审计署颁布审计署关于内部审计工作的若干规定( 以下简称规定) ，这是 审计署成立后第一个关于内部审计工作的法规文件，对我国的内部审计工作进 行了规范。1 9 8 7 年我国成立了中国内部审计学会，当年1 2 月加入i i a 。这个阶 段，是我国内部审计制度初步建立阶段。 1 9 9 4 年我国颁布中华人民共和国审计法，将内部审计以法律形式予以 规定，明确了其法律地位。1 9 9 5 年7 月1 4 日，国家审计署又发布了关于内 部审计工作的规定，对内部审计机构、人员、职责、权限等进一步作了具体 规定。我国初期的内部审计工作大多都是按照审计署屡经修订的此项规定进行 的。2 0 0 2 年内部审计学会正式更名为中国内部审计协会，从实质上理顺了我国 内部审计职业组织与国家审计署的关系。这是我国内部审计立法进一步完善的 阶段。 第三阶段从2 0 0 3 年开始，是全面建立内部审计法规体系的阶段。2 0 0 3 年3 月4 日，李金华审计长签署了中华人民共和国审计署令第4 号审计署关于内 部审计工作的规定，自2 0 0 3 年5 月1 日实行。根据这个规定和审计法及 相关法律法规，中国内部审计协会组织有关方面的专家、教授、内部审计实务 工作者、法律工作者，自2 0 0 0 年至2 0 0 5 年，陆续制订和公布了一系列中同内 部审计准则，包括内部审计基本准则、内部审计人员职业道德规范和2 0 个具体准则以及两个实务指南，同时编写了准则释义，陆续颁布实施。准则的 制定，促进了我国内部审计的制度化、规范化和职业化。 中国内部审计规范对内部审计定义：内部审计是指组织内部的一种独立客 观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法 性和有效性来促进组织目标的实现。这个定义，采用了i i a l 9 9 3 年实务准则中 提出的监督评价职能，涵盖了传统内部审计的财务审计内容，而且更注重管理 审计，强调通过评价来促进经营活动和内部控制效率效果的提高：但是没有考 虑国际最新实务准则提出的咨询职能。 从我国内部审计二十多年的发展历史上看，我国内部审计的许多法规都由 国家审计署颁布，因此许多企业在内部审计目标、职能、范围、方法等方面带 有政府审计的色彩，国有企业在这方面尤其明显，例如国有企业的经济责任审 计，就很大程度上借鉴了政府审计的经济效益审计。从内部审计内容上看，我 5 第二章内部控制的内部审计发展演变 国非国有企业的内部审计，不同于国有企业，是出于企业生存、发展的需要而 自发建立的，与国外许多国家走的是相同的道路。但总体上说，国际内部审计 的领域比我国国有企业内部审计要广泛的多。 2 2 内部控制和风险管理的内部审计比较 2 2 1 内部控制和风险的概念 内部控制和风险是内部审计中的两个核心概念。 漫长的几千年中，内部控制一直以最原始的内部牵制形式出现在各种组织 的管理过程中，此后，内部控制的概念经历了内部控制制度阶段、内部控制制 度两分法阶段( 内部会计控制制度和内部管理控制制度) 和内部控制结构阶段 ( 包括控制环境、会计制度、控制程序三要素) 。自1 9 9 2 年美国c o s o 委员会发 布并于1 9 9 4 年修订内部控制整体框架( i n t e r n a lc o n t r 0 1 一i n t e g r a t e d f r a m e w o r k ) 以来，该框架已在全球获得广泛的认可和应用。根据内部控制框架 的定义，内部控制是指管理层、审计委员会及其他各方在组织内部为实现经营 目标，保护资产安全完整，保证遵循法律法规，提高组织运营的效率及效果， 所采取的各种政策和程序的总称。c o s o 内部控制整体框架指出，内部控制主要 由以下五个部分组成：控制环境( c o n t r o le n v i r o n m e n t ) 、风险评价( r i s k a s s e s s m e n t ) 、控制活动( c o n t r o la c t i v i t i e s ) 、信息和沟通( i n f o r m a t i o na n d c o m m u n i c a t i o n ) 以及监督( m o n i t o r i n g ) 。内部控制的目的是合理保证组织实现 以下目标：组织运行的效果和效率；财务报告的可靠性和完整性：以及是否符 合相关的法律法规和合同，其中第一个目标中内含了保证资产的安全。也就是 说，c o s o 对内部控制的定义强调了内部控制是一个“过程”，或者是有目的的 手段，其本身并不足目的。 在内部控制框架的基础上，结合美国 2 0 0 2 年公众公司会计改革和投资者 保护法案( 该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委 员会主席萨班斯联合提出，又被称作萨班斯奥克斯法案，s a r b a n e s o x l e ya c t ，s o x ，简称萨班斯法案) 在报告方面的要求，c o s o 委员会2 0 0 4 年9 月研究发布了企业风险管理整体框架( c o s o - - - e r m ，又称全面风险管理框架) 。 该报告拓展了内部控制，更广泛地关注风险管理领域，内部控制和风险管理走 向融合。 美国学者海尼斯( j h a y n e s ) 认为，风险意味着损失的可能性。哈迪将风 险定义为“风险是费用、损失或与损失相关的不确定性”，这都是狭义的风险 定义。i i a 2 0 0 1 年将风险定义为可能对目标的实现产生影响的事件发生的不确 6 第二章内部控制的内部审计发展演变 定性，并指出风险的衡量标准是后果与可能性( i i a ，t h ep r o f e s s i o n a l p r a c t i c ef r a m e w o r k s a l t a m o n t e s p r i n g ，f l ：i i a ， 2 0 0 1 h t t p ：w w w t h e i i a o r g ) 。这是广义的风险观，认为风险既包括正面的风险， 即机会；也包括负面的风险，即狭义风险。 根据e r m 框架，“全面风险管理是一个过程。这个过程受董事会、管理层和 其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中，用 于识别那些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内， 从而合理确保企业取得既定的目标。”e r m 框架有三个维度，第一维度是企业的 目标；第二维度是全面风险管理要素；第三维度足企业的各个层级。企业的目 标有四个：战略目标、经营目标、报告目标和合规目标。全面风险管理要素有 8 个，即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、 信息和交流、监控。企业的层级，包括整个企业、各职能部门、各条业务线及 下属各子公司。e r m 三个维度的关系是：全面风险管理的8 个要素是为企业的 四个目标服务的；企业各个层级都要坚持同样的四个目标；每个层次都必须从 以上8 个方面进行风险管理。 从c o s o 的e r m 框架和内部控制框架可以看出，全面风险管理与内部控制既 相互联系又有重要差异。从两者的框架结构看，全面风险管理除包括内部控制 的三个目标之外，还增加了战略目标；全面风险管理的8 个要素除了包括内部 控制的全部5 个要素外，还增加了目标设定、事件识别和风险对策三个要素。 因此，全面风险管理涵盖了内部控制。从两者的实质内容看，两者存在以下几 项重要差异：一是内部控制只是管理的一项职能，而全面风险管理属于风险范 畴，贯穿于管理过程的各个方面。二是在全面风险管理框架中，由于把风险明 确定义为“对企业的目标产生负面影响的事件发生的可能性( 将产生正面影响 的事件视为机会) ，因此，该框架可以涵盖信用风险、市场风险、操作风险、战 略风险、声誉风险及业务风险等各种风险；而内部控制框架没有区分风险和机 会。三是由于全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压 力测试、情景分析等概念和方法，因此，该框架在风险度量的基础上，有利于 企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本 分配及利用风险信息支持业务前台决策流程等，从而帮助蕈事会和高级管理层 实现全面风险管理的四项目标。这些内容都是内部控制框架中没有的，也是其 所不能做到的。因此，企业风险管理框架是内部控制框架的发展。 中国内部审计协会制订和公布的具体准则第5 号内部控制审计( 2 0 0 3 年6 月1 日起生效) 和具体准则第1 6 号风险管理审计( 2 0 0 5 年5 月1 日生 效) ，基本采用了c o s o 委员会的研究成果，认为内部控制包括控制环境、风险 7 第二章内部控制的内部审计发展演变 管理、控制活动、信息和沟通以及监督五大要素。五要素的观点在我国的会计 制度、独立审计制度中都尚未引入，但是许多大型企业纷纷借鉴五要素观点建 立自身的内部控制制度并在运行中取得了较好效果。 由于对“内部控制”和“风险管理”的界定范围不同，对风险管理及内部 控制的关系会有不同的看法。我国内部审计准则所称的“风险管理”，是指对影 响组织目标实现的各种不确定性事件进行识别和评估，并采取应对措施将其影 响控制在可接受范围内的过程。因此是从狭义上理解的风险管理，即风险管理 的最核心部分：风险识别、评估以及应对，是作为内部控制的要素之一，包含 在内部控制系统中的。 本篇论文从发展趋势考虑，对内部控制和风险管理的界定，采用了c o s o 委 员会企业风险管理框架e r m 的研究成果，认为风险管理包含了内部控制，企业 风险管理是内部控制的最新发展形态。其实不论是内部控制包含风险管理，还 是风险管理包含内部控制，上述两种观点体现了一个共同的趋势二者正逐 渐走向融合，将二者隔离起来进行分析并不可取。英国t u r n b u l l 报告在向公司 董事会、管理层等提供内部控制的指导时，始终将内部控制与风险管理联系起 来，并指出内部控制是进行风险管理的重要工具，对组织目标实现有着重要影 响( t u r n b u l1c o m m it t e e i n t e r n a lc o n t r o l g u i d a n c ef o rd ir e c t o r so n c o m b i n e dc o d e 【r 】l o n d o n ：t h ei n s t i t u t eo fc h a r t e r e da c c o u n t a n tsi n e n g l a n da n dw a l c s ，19 9 9 ) 。这种融合，可以理解为风险管理包含了内部控制， 也可以理解为风险管理框架就是内部控制的外在表现。 2 - 2 2 企业内部控制审计的主要内容 内部控制审计的对象是被审计单位的内部控制政策和程序，对内部控制的 五大要素进行审查和评价就构成了内部控制审计的基本内容，审查重点为以下 内容： 1 、对控制环境的审查评价 重点包括：经营活动的复杂程度；管理权限的集中程度；管理行为守则的 健全性和有效性；管理层对逾越既定控制程序的态度；组织文化的内容及组织 成员对此的理解与认同；法人治理结构的健全性和有效性：组织各阶层人员的 知识与技能；组织结构和职责划分的合理性；重要岗位人员的权责相称程度及 其胜仟能力；员工聘用程序及培训制度；员工业绩考核与激励机制。 2 、对组织风险管理机制的健全有效性的审查评价 重点包括：可能引发风险的内外因素；风险发生的可能性和预计带来的后 果：对抗风险的能力；风险管理的具体方法及效果。 8 第二章内部控制的内部审计发展演变 3 、对控制活动适当性、合法性、有效性的审查评价 控制活动的审查重点包括：控制活动建立的适当性：控制活动对风险的识 别和规避：控制活动对组织目标实现的作用；控制执行的有效性。 4 、对组织获取及处理信息能力的审查评价 重点包括：组织获取财务信息和非财务信息的能力；信息处理的及时性和 适当性；信息传递渠道的便捷与畅通；管理信息系统的安全可靠性。 5 、管理层内部控制自我评估和内部审计的独立监督 2 0 0 2 年的萨班斯法案，建立了内部控制的新的相关规定，其中的4 0 4 条 款要求公司管理层对公司内部控制的有效性进行评估和报告，同时也要求公司 的独立审计师向公众公司会计监督委员会( p c a o b ) 进行登记，来证明管理层 对于内部控制的评价。p c a o b 建立了第5 号审计准则来指导新的审计的实 施，经过调查研究后，于2 0 0 7 年7 月2 5 日得到了美国证监会( s e c ) 的正式批 准。第5 号审计准则很大程度上改变了内部控制审计的思路，尤其体现在 审计计划方面，而且比较适合我国上市公司的目前的现状，所以对我国的目前的 上市公司内部控制审计的审计计划及其审计过程有很强的指导意义。参照这个 审计准则，风险评估贯穿于整个内控审计程序，并且，内部审计人员应首先判 断管理层是否建立适当的评价标准。 2 2 - 3 全面风险管理审计的主要内容 风险管理审计，是指依据同家有关法律法规及集团公司的有关规定、办法 等，以重大风险、重人事件( 指重要风险发生后的事实) 的管理和重要流程的 内部控制为重点，对企业管理的各个环节和经营过程中执行风险管理的基本流 程进行监督审查，采用定量或定性方法对风险管理的适当性和有效性进行检验， 并对风险管理结果进行评价。风险管理旨在为组织目标的实现提供合理保证。 风险管理的重点在于对过程中不确定性的处理和过程监控。其基本流程包括以 下工作：收集风险管理初始信息；进行风险评估；制定风险管理策略：提出和 实施风险管理解决方案：风险管理的监督和改进。 风险管理审计主要目的是评价和改善风险管理流程的效果，帮助组织实现 其目标。其审计的主要内容包括：风险管理机制，风险识别，风险评估，风险 应对和管理措施、风险管理解决方案等，具体地说，是对实现组织的目标风险 管理的全过程进行审定、评价，即对风险管理的目标、计划、方案、措施等决 策性内容，以及政策、控制点的选择、控制制度、信息系统、监督体系等控制 性内容进行的审计。其主要审计策略是：了解企业战略，经营及价值目标，以 及经营行为：识别实现该目标以及其经营行为的主要风险：了解企业的风险管 9 第二章内部控制的内部审计发展演变 理策略及风险管理措施；评价企业的风险管理措施在将风险降至可接受水平方 面的有效性；关注风险管理上的缺陷。 风险管理是由企业的各个层级，从风险管理的8 个方面( 八大要素) ，为企 业的4 个目标服务，这个过程从企业战略制定一直贯穿到企业的各项活动中， 用于识别那些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之 内，从而合理确保企业完成既定的目标。因此，风险管理审计吸收了内部控制 审计其他阶段的优点，同时又关注到企业的战略、绩效等整体风险管理的有效 性，从企业管理层所进行的风险管理活动的角度识别并评价风险。内部审计可 以对企业管理的某个环节或某个经营过程单独立项进行风险管理审计，也可以 在做其它类型的内部控制审计时，评估项目的风险，做出相关评价，提出改进 措施。 1 0 第二章设计院内部控制审计开展情况及存在问题分析 第三章设计院内部控制审计开展情况及存在问题分析 3 1 设计院控制环境简介 3 1 1 设计院组织机构 该设计院历经改制重组，2 0 0 7 年2 月，成立集团有限公司。集团成员包括 母公司、控股子公司以及其他成员单位。母公司、控股子公司以及其他成员单 位均具有独立法人地位。集团实行集中决策、分层管理、分散经营。母公司在 集团中处于主导和核心地位，是集团财务和投资中心，对外代表集团。集团公 司成立理事会( 3 人) 作为集团的管理、议事和决策机构。设计院改组成集团 公司后，依照公司法的规定完善法人治理结构，但仍保持国有控股企业的特色。 设计院现有组织机构见图3 1 。 根据该设计院公司章程，公司设立股东会、董事会、监事会。董事会由 9 名成员组成，其中职工代表1 名；其下根据工作需要设立发展战略委员会、 提名委员会、薪酬管理与考核委员会和财务预算管理委员会4 个专门委员会， 专门委员会向董事会负责。监事会由5 名监事组成，其中职工代表2 名，监事 会日常工作机构为监事会办公室。由董事长提名，公司董事会聘请了总经理1 名，同时，保留了国有企业的“党委书记”一职，级别和总经理一样，主要负 责党委、宣传、团委等政工部门。由总经理提名，公司董事会聘请了副总经理 若干名，总工程师1 名，总会计师兼法律顾问1 名，组成公司的经营机构：同 时，保留了原国企工会组织工会主席一职，经法定程序，兼任职工监事。公司 副总经理和工会主席受总经理领导，分管公司的不同职能部门，联系不同的生 产部门，并按授权承担不同业务领域和工作区域的生产经营工作。 有效的组织架构提供了计划、执行、协调和控制活动的框架。通过处理诸 如集权或分权决策、在不同部门间进行适当的职责划分等问题，组织架构将权 利、责任和任务在组织的成员中进行合理分配。若组织机构设置不清，则影响 管理的有效进行。该设计院母公司现有的组织架构以直线职能制为主，职能部 门和生产处都采用专业化模式归口管理，并且职能部门要履行管理和监督职责。 图3 - 1 设计院现有组织机构图中，党委书记领导下的党委宣传等政工部门， 专职工作人员虽然不到1 0 人，但其工作渗透到设计院的各个层级，兼职人员较 多，党委的影响力较大。工会组织的结构形式也类似于党委，对公司经营管理 1 1 第三苹设计院内部控制审计开展情况及存在伺韪分析 图3 - i 设计院现有组织机构图 第二章设计院内部控制审计开展情况及存在问题分析 活动通过“职工代表大会”以及“建言献策”等类似活动发挥作用，一般说来 作用较小。 审计处作为设计院的职能部门之一，业务上受总会计师直接领导，其工作 成果审计报告，则直接向总经理汇报。根据集团公司监事会议事规则， 监事会办公室设在审计处，办公室主任由审计处长兼任；此外，审计处长经法 定程序，当选为集团公司监事会职工监事。上述设计院组织机构图没有反映监 事会办公室和审计处的这种关系，这将在存在的问题和解决方案中另加说明。 3 1 2 设计院战略目标和经营目标 通过对设计院内外环境进行优势劣势和机会威胁分析，企业发展战略委 员会确定公司2 0 0 8 - 2 0 1 0 年的发展规划是：适应工程建设市场和大规模铁路现 代化建设的要求，着力增强前期研究、系统设计、系统集成能力，努力构建在 高速铁路、重载铁路、既有线提速改造、大型城市交通枢纽、城市群快速客运 铁路、磁浮交通、城市轨道交通等领域具有突出优势的技术研发基地、科技创 新基地和人才培养基地，建成以铁路、市政( 城市交通工程等) 、公路三大行业 的工程勘察、工程设计、工程咨询、工程项目管理和工程总承包为主营业务的 勘察设计企业。 收入目标：到2 0 1 0 年末，全年营业额突破2 5 亿，其中工程承包、项目管 理业务收入8 亿元，年人均创收能力达6 5 万元，实现2 0 0 8 - 2 0 1 0 年三年总收入 6 0 亿元以上。 市场目标：国内铁路和城市轨道交通业务市场占有率位居前列；公路业务 市场占有率保证综合资质所需业绩，力争位居非公路勘察设计企业前列；工程 总承包、工程项目管理营业收入分别进入国内勘察设计业前5 0 名、前1 0 名。 3 1 3 设计院内部审计的发展变化和内部审计的职责 该设计院内部审计自成立以来，在组织机构上变化不大，但结合经营管理 的需要和企业改革的推进，在审计目标和审计内容等方面发生了较大的变化。 一、内部审计组织机构的发展变化 1 9 9 2 年以前，该设计院内部审计和监察部门合署办公，称为监察审计处， 这阶段内部审计的主要目标是验证、查错。1 9 9 3 年，内部审计独立出来，成立 审计处，分设审计科和综合科两个部门。19 9 9 年，适应内部基建项目及工程承 包监理项目监督的需要，审计处按具体审计内容，改设经济责任审计科和工程 审计科两个部门，分别偏重于经济责任审计业务和工程项目审计业务。该机构 设置一直延续使用至今，但内部审计的内容和范围已发生重大改变。2 0 0 6 年该 1 3 第三章设计院内部控制审计开展情况及存在问题分析 勘察设计企业完成主辅业分离，将医院、中小学等辅业与勘测设计主业脱钩； 2 0 0 7 年成立集团有限公司。设计院审计工作规定第七条和第十一条，确定 了审计机构的设置及其职责：院审计处依法对本单位和所属单位实施审计监督， 子公司根据需要可以设置内部审计机构及专职审计人员；各分院及院直属生产 单位不设置审计机构和专职审计人员，但可根据实际情况配备兼职审计员，受 本单位主要负责人和院审计处领导，并报告工作。但目前设计院各二级行政管 理单位和生产单位以及子公司都没有设立审计部门或专兼职审计员。 二、内部审计目标和内容的发展变化 该设计院内部审计自成立之日起，其职能和目标经历了防弊、兴利及增值 三个阶段。 在2 0 0 1 年该设计院由铁道部脱钩，实行改氽建制以前，受政府审计的影响， 审计监督是内部审计的基本职能，以监督各生产单位执行国家财经政策和相关 财务政策，规范财务核算，保障国有资产的保值增值为其基本目标。审计内容 包括：对各生产单位资金、财产的完整、安全进行监督检查；对财务收支计划、 经费预算和经济合同的执行情况及其经济效益进行审计监督；对会计报表、决 算的真实、正确、合规、合法性进行审计；对严重违反财经法纪的行为进行专 案审计；以及同有资产的保值增值情况。 公司制改革后，审讨处根据中华人民共和国审计法和审计署关于内 部审计工作的规定，制订了本企业的审计工作规定，确定内部审计的总体 目标是为企业的改革和发展服务，规定内部审计对院本级及所属各单位的下列 经济活动实施审计监督：1 、国家财经法规、上级制定的管理制度和规定的执行 情况；内部控制制度的有效性；2 、财务收支，资产、负债、损益，会计核算， 财务决算，各类资金的筹集、管理和使用，各类经济合同，企、i k 经营方针、经 营活动、经营决策、经济效益，财产安全、完整、保值、增值等情况：3 、院属 各单位第一管理者任期履行经济责任的情况；4 、基建、大修工程概( 预) 算的 执行，结算和决算，自筹资金来源和使用情况：5 、工程承包、工程监理项目的 合同管理、资金管理、成本核算及经济效益情况；6 、院内单位( 企业) 停产、 兼并、分立的财产清理，资产拍卖，转让、抵押、租赁：7 、院及所属单位住房 公积金、社保基金、福利基金以及其他基金的财务收支情况等。这段时期除增 加了任期经济责任审计的内容外，还增加了相当部分的管理协调内容，例如： 完成院领导、上级审计部门交办的审计事项：配合国家审计机关、地方审计机 构对本单位的会计报表审计、项目审计或延伸审计等。其主要目的是关注企业 经营成果的真实性，促进企业经济效益的提高。 该设计院至2 0 0 3 年基本实现了财务集中管理：首先，实现了资金的集中， 1 4 第二章设计院内部控制审计开展情况及存在问题分析 对本单位及其所属单位( 包括院本级、二级生产部门和控股子公司，下同) 统一 开户，分户核算，发挥资金的规模效应：其次，实现了会计人员和会计核算的 集中，审计人员工资由院支付，归院财务处统一调配，使用用友公司面向设计 院开发的网络版软件，将财务人员和财务工作整合，使会计人员的工作量相对 平均，并实现核算的细化和会计的自我监督职能。随着财务核算的集中，内部 审计的重点悄然发生转移，开始逐步参与企业经营